官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 软件安全 】 『脱壳破解区』 TMD2.0.5.0脱壳手记
返回列表 发新帖
查看: 6060|回复: 4
收起左侧

[分享] TMD2.0.5.0脱壳手记

[复制链接]
清风原木
清风原木 发表于 2009-11-3 14:50
【加壳方式】: ThemIDA 2.0.5.0
【保护方式】: Themida
【使用工具】: od,UIF,ImportRE

  运行程序来到msvbvm60.ThunRTMain
  7344357C >  55              push ebp                                 ; 注册表随.0051CDBE
  7344357D    8BEC            mov ebp,esp
  7344357F    6A FF           push -1
  73443581    68 C0944573     push msvbvm60.734594C0
  73443586    68 26B15273     push msvbvm60.7352B126
  7344358B    64:A1 00000000  mov eax,dword ptr fs:[0]
  
  7344357C >6AEC8B55  U嬱j    数据窗口,硬件访问
  
  来到401120向下找msvbvm60.ThunRTMain
  004011BD   ?  98            cwde
  004011BE   ?  02F0          add dh,al
  004011C0   .- E9 B7230473   jmp msvbvm60.ThunRTMain     硬件断点
   重新载入
  00553175   /0F85 9D000000   jnz 注册表随.00553218      断在这里  取消7344357断点
  0055317B   |0F8A 01000000   jpe 注册表随.00553182
  00553181   |F9              stc
  00553182   |66:8178 04 4C2E cmp word ptr ds:[eax+4],2E4C
  00553188   |0F85 8A000000   jnz 注册表随.00553218
  0055318E   |60              pushad
  0055318F   |50              push eax
  00553190   |E9 10000000     jmp 注册表随.005531A5
  
  
  
  005507E3    3B85 F5207406   cmp eax,dword ptr ss:[ebp+67420F5]       ; msvbvm60.ThunRTMain  来到这里
  005507E9    0F84 22000000   je 注册表随.00550811                      mgic jump 修改
  005507EF    F8              clc
  005507F0    3B85 FD287406   cmp eax,dword ptr ss:[ebp+67428FD]
  005507F6    0F85 2C000000   jnz 注册表随.00550828
  
  004011BA   .- E9 E8881073   jmp msvbvm60.EVENT_SINK_Release
  004011BF      AB            db AB
  004011C0   .- E9 B7230473   jmp msvbvm60.ThunRTMain             取消00553175断点,来到这里
  004011C5      4C            db 4C                                    ;  CHAR 'L'
  
  00401354  21354256  VB5!
  00401358  62761FF0  ?vb
  0040135C  73686336  6chs
  00401360  6C6C642E  .dll
  
  0012FF90   0054426F  注册表随.0054426F
  0012FF94   00401354  注册表随.00401354
  0012FF98   004FB701  ASCII "`j"
  0012FF9C   0012FFE0
  0012FFA0   004EF3C8  注册表随.004EF3C8
  
  004011C0   .- E9 B7230473   jmp msvbvm60.ThunRTMain
  004011C5      28            db 28                                    ;  CHAR '('
  004011C6      00            db 00
  004011C7      68 54134000   push 注册表随.00401354             还原 oep
  004011CC      E8 EFFFFFFF   call 注册表随.004011C0
  004011D1      14            db 14
  004011D2      00            db 00
  004011D3      00            db 00
  004011D4      00            db 00

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

changqqw
changqqw 发表于 2009-11-3 15:11
好像还没有看懂啊,有差距啊!!!
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持

举报

小糊涂虫
小糊涂虫 发表于 2009-11-3 19:07
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
VB的程序? 试试其它的
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

※梧桐※
※梧桐※ 发表于 2009-11-3 23:27
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
没有看懂
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

sean350
sean350 发表于 2009-11-11 17:50
顶顶顶,高手
如何快速判断一个文件是否为病毒!
回复 支持

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-5-23 11:45

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表